Dolandırıcılar, Noodlophile Stealer kötü amaçlı yazılımları yaymak için sahte AI araçları ve Facebook reklamları kullanıyor ve kullanıcıları kimlik bilgilerini çalmak için çok aşamalı bir saldırı olan hedefliyor.
Morphisec’teki siber güvenlik araştırmacıları, Noodlophile Stealer olarak adlandırılan yeni bir bilgi çalkayı dağıtmak için sahte ve kötü niyetli yapay zeka (AI) platformlarını kullanan yeni bir kötü amaçlı yazılım kampanyası belirlediler.
Bu sofistike taktik, kullanıcıları tarayıcı kimlik bilgilerini çalabilen kötü amaçlı yazılımları ve kripto para cüzdanlarını indirmek için AI araçlarının artan popülaritesini kullanıyor ve potansiyel olarak Xworm gibi uzaktan erişim araçlarını dağıtıyor.
Nasıl çalışır?
8 Mayıs 2025’te yayınlanmasından önce Hackread.com ile paylaşılan Morphisec’in tehdit analizi, siber suçluların genellikle Global Reach ile Facebook grupları aracılığıyla reklamı yapılan ikna edici sahte AI web siteleri oluşturduklarını detaylandırıyor (bazı yayınlar tek bir gönderide 62.000 görüntülemeyi aşıyor).
Bu platformlar, kullanıcıları ücretsiz AI video ve görüntü oluşturma vaatleriyle cezbeder ve kendi resimlerini yüklemelerini ister. Beklenen AI ile işlenen içerik yerine, kurbanlar bilmeden Noodlophile Stealer’ı içeren kötü amaçlı bir fermuar arşivi indiriyorlar.
Yeni Sosyal Mühendislik AI trendinden yararlanır
Bu kampanya, AI’nın sosyal mühendislik cazibesi olarak sömürülmesi nedeniyle öne çıkıyor ve özellikle Facebook topluluklarında, yapay zekayı araştıran potansiyel olarak daha güvenilir bir yaratıcılar ve küçük işletmelerin izleyicisini hedef alıyor.
Morphisec Raporu, Noodlophile Stealer’ın kimlik bilgisi hırsızlığı, cüzdan eksfiltrasyonu ve isteğe bağlı uzaktan erişim dağıtımını birleştiren yeni belgelenmiş bir kötü amaçlı yazılım olduğunu belirtiyor. Özellikle, çalınan bilgileri bir telgraf botu aracılığıyla püskürtür.
Açık kaynak zekası (OSINT) araştırmaları, Morphisec’in Facebook yayınlarında ve çevrimiçi siber suç pazarlarında bu yöntemi teşvik ettiğini gözlemleyen Vietnam kökenli Noodlophile’ın arkasındaki geliştiriciyi tanımlamasına yol açtı. Geliştiricinin profili ayrıca, facebook gruplarında doğrudan profillerine giden bağlantılarla birlikte kötü amaçlı yazılım satışları ve dağıtımına daha fazla katılımı ortaya koymaktadır.
Kaçma için tasarlanmış çok aşamalı saldırı
Saldırı zinciri, gizli ve kalıcılık için tasarlanmış çok aşamalı bir enfeksiyon süreci içerir. Sahte AI sitesi ile etkileşime giren kullanıcılar bir zip dosyası indirin (VideoDreamAI.zipaldatıcı bir yürütülebilir dosyayı içeren (Video Dream MachineAI.mp4.exe), Meşru Video Düzenleme Aracının 445.0’ı Capcut’un 445.0’ı yeniden kullanılmıştır ve hatta Winauth aracılığıyla oluşturulan bir sertifika kullanılarak imzalanır.
Bu yürütülebilir, daha sonra 5.0.0.1886 adlı gizli bir klasörden daha fazla kötü amaçlı bileşen bırakır, CapCut.exe (Gömülü .NET kötü amaçlı yazılım için bir sargı), aicore.dll (bir komut yürütme yardımcısı) ve gibi gizlenmiş dosyalar Document.docx (bir toplu komut dosyası) ve document.pdf (şifre korumalı bir arşiv).
CapCutLoader (Capcut.exe içinde, ilk olarak Google.com.com’a 10 kez ping atarak internet bağlantısını doğrulayan) tarafından başlatılan kurulum. TONGDUCKIEMDEVELOPER2025), kalıcılık oluşturur ve bir python yükü (srchost.exe) Noodlophile Stealer ve Xworm yükleyici içerir.
Bu son yükler, Xworm Loader’ın Shellcode enjeksiyonu ve PE oyma gibi teknikler kullanan tespitinden kaçınmak için bellekte çalışır (özellikle hedefleme RegAsm.exe Avast varsa).
Noodlophile Stealer ve sahte AI platformlarının kullanımı, şüphesiz kullanıcılara karşı sadece bir başka siber güvenlik tehdididir. Bu nedenle, her zaman temkinli kalmalı, doğrudan sosyal medya yayınlarından veya üçüncü taraf platformlarından araçları indirmekten kaçınmalı ve dosya indirmek için her zaman resmi web sitelerini kullanmalıdır.
Doğrulanmış bir kaynaktan bir dosya indirdikten sonra bile, Virustotal veya Any.run gibi web sitelerinde taramadan önce programı cihazınıza yürütmeyin/yüklemeyin.